Google、攻撃に悪用されたAndroidカーネルのゼロデイ脆弱性を修正

Googleは2025年2月のAndroidセキュリティアップデートで、実際の攻撃に悪用されたゼロデイ脆弱性を含む48件の脆弱性を修正した。特に、AndroidカーネルのUSBビデオクラス（UVC）ドライバーに存在するCVE-2024-53104は、認証済みの攻撃者による特権昇格を可能にする重大な問題だった。

この脆弱性は、uvc_parse_format 関数が特定のフレームタイプを適切に処理しないことに起因し、境界外メモリへの書き込みにつながる可能性がある。また、QualcommのWLANコンポーネントに関するCVE-2024-45569など、リモートコード実行が可能な脆弱性も同時に修正された。

セキュリティパッチの適用状況は端末メーカーごとに異なり、一部のデバイスでは最新の修正がすぐに適用されない可能性がある。

Androidのゼロデイ脆弱性はどのように悪用されたのか
QualcommのWLAN脆弱性はなぜ危険なのか
Androidのセキュリティアップデートは十分なのか

Androidのゼロデイ脆弱性はどのように悪用されたのか

CVE-2024-53104は、AndroidカーネルのUSBビデオクラス（UVC）ドライバーに存在する特権昇格の脆弱性であり、攻撃者が境界外メモリへの書き込みを行うことで、デバイスの制御を奪う可能性があった。この脆弱性がどのように悪用されたのか、そしてその影響について詳しく見ていく。

この脆弱性の悪用は、特にローカル環境での攻撃を前提としていた。つまり、攻撃者が物理的にデバイスへアクセスするか、何らかの方法で認証情報を入手した状態でなければ発動しない。しかし、一度侵入が成功すれば、通常のユーザー権限ではアクセスできないカーネルレベルの操作が可能になり、他のマルウェアを仕込むこともできたと考えられる。

ゼロデイ脆弱性が現実世界でどのように利用されたのかは、Googleの報告では明らかにされていない。しかし、過去にはAndroidのカーネル脆弱性が国家機関やサイバー犯罪者によって利用され、監視ソフトウェアやスパイウェアが仕掛けられた事例もある。

今回の脆弱性が標的型攻撃に使われた可能性も否定できない。特に、政府や企業の関係者が狙われるケースでは、単純なフィッシング攻撃から端末に侵入し、こうした脆弱性を足掛かりに権限を拡張する手法が取られることが多い。

この脆弱性の修正により、新たな攻撃経路は封じられたものの、これまでに悪用された痕跡が残っている可能性もある。ユーザーはOSのアップデートを適用するだけでなく、過去にインストールしたアプリやデバイスの挙動を注意深く確認し、不審な動作がないかチェックすることが重要だ。

QualcommのWLAN脆弱性はなぜ危険なのか

Androidの2025年2月セキュリティアップデートでは、CVE-2024-53104以外にもQualcommのWLANコンポーネントに関するCVE-2024-45569が修正された。この脆弱性は、WLANホスト通信の処理中に発生するメモリ破損の問題であり、リモート攻撃者によって悪用される恐れがあった。

この脆弱性の特に危険な点は、攻撃者が物理的なアクセスを必要とせず、無線通信を通じて悪用できる点にある。つまり、同じWi-Fiネットワークに接続しているだけで攻撃が成立する可能性があるということだ。過去にも、Wi-Fiを経由したリモートコード実行攻撃は何度も発生しており、特に企業や公共施設のネットワークでは重大なリスクとなる。

さらに、CVE-2024-45569の攻撃手法は比較的シンプルであり、特定の不正なフレームを送信するだけでターゲットの端末が影響を受ける可能性がある。これにより、リモートでデバイスのメモリを操作され、不正なコードを実行されたり、システムがクラッシュしたりする危険がある。

特に、Wi-Fiチップがファームウェアレベルで制御されているため、一般的なセキュリティアプリでは検出や防御が難しいという問題もある。この脆弱性が修正されたことで、少なくとも既知の攻撃手法は封じられたが、今後も類似の問題が発見される可能性は高い。

Wi-Fi関連の脆弱性は、過去にもKRACK（Key Reinstallation Attack）やFragAttacks（Fragmentation and Aggregation Attacks）など、重大な影響をもたらしてきた。ユーザーとしては、定期的なアップデートの適用だけでなく、パブリックWi-Fiの使用を控えたり、VPNを活用するなどの対策が求められる。

Androidのセキュリティアップデートは十分なのか

Googleは毎月のセキュリティパッチを通じて脆弱性の修正を続けているが、すべてのAndroidデバイスが即座に最新のアップデートを受け取れるわけではない。この更新プロセスの遅れは、脆弱性が修正されても一定期間、攻撃のリスクが残るという大きな課題につながっている。

Google Pixelシリーズのような純正デバイスは、アップデートの適用が比較的迅速だ。しかし、多くのAndroidデバイスはメーカーごとのカスタマイズが施されており、OSのアップデートがベンダー側の調整を経てから配信されるため、タイムラグが発生する。また、一部のメーカーでは最新バージョンの提供が遅れたり、古い端末がサポート対象外になったりすることも珍しくない。

その結果、一部のユーザーは何カ月も前に発見された脆弱性を抱えたまま端末を使い続けることになる。特に、中古端末や低価格帯のデバイスではアップデートが途絶えるケースが多く、これらがサイバー攻撃の標的になるリスクが高まる。さらに、アップデートの提供状況はメーカーごとに異なり、ユーザーがどのデバイスを選ぶかによって、セキュリティの確保が大きく変わるのも問題だ。

Androidのセキュリティ体制は年々強化されているものの、アップデートの遅れやメーカーごとの対応差は依然として課題となっている。ユーザーは、最新のセキュリティパッチを適用できる環境にあるかを確認し、できる限り長期的にサポートが続くデバイスを選ぶことが、安全性を高める上で重要になる。

Source：BleepingComputer